Update malicioso infecta usuários de notebooks Asus

25 mar 2019

Graças a uma nova tecnologia em nossos produtos capaz de detectar ataques na cadeia de suprimento, nossos especialistas descobriram o que parece ser um dos maiores incidentes deste tipo (o CCleaner foi maior). Um grupo cibercriminoso modificou o ASUS Live Update Utility, que fornece BIOS, UEFI e atualizações de software para laptops e desktops ASUS (5a maior fabricante do mundo), adicionou uma backdoor ao utilitário e distribuiu-o aos usuários por meio de canais oficiais.
O utilitário “trojanizado” foi assinado com um certificado legítimo e hospedado no servidor oficial da ASUS dedicado a atualizações. Isso permitiu que permanecesse sem ser detectado por um longo tempo. Os criminosos até se certificaram de que o tamanho do arquivo do utilitário malicioso permanecesse igual ao do original.

De acordo com nossas estatísticas, mais de 57 mil usuários dos produtos da Kaspersky Lab instalaram o utilitário modificado, mas estimamos que foi distribuído para cerca de 1 milhão de pessoas. Os criminosos cibernéticos não estavam interessados ​​em todas – eles visavam apenas 600 endereços MAC específicos (inclusive no Brasil), para os quais os hashes eram codificados em diferentes versões do utilitário.

Ao investigar esse ataque, descobrimos que as mesmas técnicas foram usadas contra softwares de outros três fornecedores. Claro, nós notificamos a ASUS e outras empresas sobre o ataque. A partir de agora, todas as soluções da Kaspersky Lab detectam e bloqueiam os utilitários trojanizados, mas ainda assim sugerimos que você atualize o ASUS Live Update Utility, se você usá-lo. Nossa investigação ainda está em andamento.

Também criamos uma ferramenta para determinar se seu computador foi um dos alvos selecionados. Para verificar isso, ele compara os endereços MAC de todos os adaptadores a uma lista de valores pré-definidos codificados no malware e alerta se uma correspondência foi encontrada.

Baixe um arquivo com a ferramenta (.exe)

Além disso, você pode verificar os endereços MAC online. Se descobrir que foi alvo desta operação, envie um e-mail para: shadowhammer@kaspersky.com

Se você quiser saber mais sobre um dos maiores ataques da cadeia de suprimentos, mergulhar em detalhes técnicos, entender quem eram os alvos e receber conselhos sobre como se proteger contra ataques da cadeia de suprimentos, sugerimos visitar o SAS 2019 – nossa conferência de segurança que começa 8 de abril em Cingapura. Teremos uma palestra dedicada ao ShadowHammer APT com muitos detalhes interessantes. Os ingressos estão quase esgotados, então é melhor você se apressar.

Alternativamente, você poderá ler nosso relatório completo, que estará disponível durante o SAS, no securelist.com. Fique ligado!